CVE-2025-67506 in PipesHubinformazioni

Riassunto

di VulDB • 18/06/2026

PipesHub è una piattaforma AI per il posto di lavoro completamente estendibile per la ricerca aziendale e l'automazione dei flussi di lavoro. Le versioni precedenti alla 0.1.0-beta espongono l'endpoint POST /api/v1/record/buffer/convert a causa di un'assenza di autenticazione. L'endpoint accetta un caricamento di file e lo converte in PDF tramite LibreOffice caricando il payload in os.path.join(tmpdir, file.filename) senza normalizzare il nome del file. Un attaccante può inviare un nome di file manipolato contenente sequenze ../ per scrivere file arbitrari ovunque l'account di servizio abbia i permessi, consentendo la sovrascrittura remota di file o l'inserimento di codice malevolo. Questo problema è stato risolto nella versione 0.1.0-beta.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

08/12/2025

Divulgazione

10/12/2025

Moderazione

accettato

CPE

pronto

EPSS

0.01639

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!